株式会社IDCフロンティア(以下「IDCフロンティア」)は、Webサイトの脆弱性を悪用した攻撃を防御する、EGセキュアソリューションズ株式会社(以下「EGセキュアソリューションズ」)の純国産ホスト型WAF(*1)「SiteGuard Server Edition」の提供を、2024年5月9日より開始します。
「SiteGuard Server Edition」は、専用の物理アプライアンスを必要としないカスタマイズ性に優れた各Webサーバーのモジュールとして動作するソフトウェア型のWAFで、SQLインジェクションやクロスサイトスクリプティング(XSS)など、 Webアプリケーションの脆弱性を悪用した攻撃からのWebサイト保護や、脆弱性診断で発見されることの多いクリックジャッキング対策やヘッダ情報・CookieのSecure属性不備などにも対応します。
これにより、「IDCFクラウド」「IDCFプライベートクラウド」「ベアメタルサーバー」で構築された1~10台程度の小・中規模なWebサイトで、Webサーバーへ「SiteGuard Server Edition」をインストールすることで、外部からの悪意ある攻撃からWebサイトを保護することができます。
仮想マシン1台あたり2万円の月額固定料金で初期費用は無料、クラウド型によくある転送量課金もなく、オートスケールなどによる一時的な利用でも追加料金は不要です。また、利用契約前に「SiteGuard Server Edition」の評価利用も合わせて提供いたします。評価利用期間は30日間、その間全ての機能を制限なく利用できるため、実際にWAFを試用した上で正式契約することも可能です。
物理アプライアンスや大規模サイト向けWAFと比較し、小・中規模のサイトでも必要十分なWebサイト保護の機能と、導入しやすいコストパフォーマンスに優れた料金で提供します。
■「SiteGuard Server Edition」の主な仕様
――――――――――――――――――――――――――――――――――――――
対応する主な脅威(攻撃手法)
・SQLインジェクション
・XSS(クロスサイトスクリプティング)
・ディレクトリトラバーサル
・OSコマンドインジェクション
・改行コードインジェクション(HTTPヘッダ、メールヘッダ)
・XXE(XML External Entity)
・パラメータ改ざん
・ブルートフォース(ログインアタック等)
・クリックジャッキング
・Apache Strutsの深刻な脆弱性
・Log4Shell 他
――――――――――――――――――――――――――――――――――――――
防御機能の一覧
・トラステッド・シグネチャ検査
(ブラックリスト、自動更新・手動更新)
・カスタム・シグネチャ検査
(ブラックリスト、ホワイトリスト、頻度判定)
・Cookie保護(暗号化、Secure属性追加、シグネチャ検査)
・応答ヘッダ追加・削除
・URLデコードエラー検出
・パラメータ数制限
・国別フィルタ
――――――――――――――――――――――――――――――――――――――
「SiteGuard Server Edition」についての詳細は次のURLをご参照ください。
www.idcf.jp/cloud/siteguard-server-edition/
以上
*1 WebApplication Firewall(ウェブ アプリケーション ファイアウォール)